Escolar Documentos
Profissional Documentos
Cultura Documentos
Symantec Enterprise
E Security
INSIDE
∆
∆
INSIDE
Conteúdo
Resumo executivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Equipamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Pessoal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Instalações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Suporte organizacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Referências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2
Symantec MANAGING ENTERPRISE SECURITY
√ Resumo executivo
A segurança é um componente integrante e necessário dos negócios atuais, principalmente devido à
expansão da Internet e dos grandes ‘Es’: e-business, e-commerce e e-retailing. A segurança nunca foi
tão importante para a sobrevivência de uma empresa, suas vantagens competitivas e a habilidade de
manter o valor de seus investimentos. Portanto, um programa de segurança efetivo não envolve
apenas dispositivos e tecnologias de segurança, mas incorpora também indivíduos e processos.
Ao mesmo tempo, as empresas enfrentam várias barreiras para atingir e manter um programa de
segurança efetivo. Essas barreiras incluem:
Por isso, para muitas empresa, duas alternativas surgiram: gerenciamento interno de segurança ou
gerenciamento terceirizado de segurança, total ou em parte.
A questão que muitas empresas enfrentam quando decidem terceirizar é: É possível efetivamente
terceirizar as funções de gerenciamento ou gerenciar em conjunto com terceiros sem resultar em
altos custos?
A avaliação e identificação dos riscos e benefícios da terceirização da segurança é uma tarefa árdua.
Deve-se considerar com muita cautela os pontos positivos e negativos dos provedores de serviços de
gerenciamento de segurança, como:
3
Symantec MANAGING ENTERPRISE SECURITY
De todos esses fatores, a avaliação do custo de terceirização pode ser o mais difícil, pois a maioria
das empresas tem dificuldades de estimar o impacto financeiro de tal decisão. De fato, um estudo
recente da InfoWorld de 100 profissionais de tecnologia sobre terceirização, mostrou que 61
porcento das empresas não sabe quanto a empresa economizaria nos 12 meses após a
terceirização das funções de TI. Esse é o caso na maioria das empresas que consideram a
terceirização dos serviços de segurança.
Com clientes e parceiros dependentes do acesso a produtos e serviços através de redes abertas
como a Internet, é necessário que as empresas garantam a integridade dessas informações. Do
contrário, estarão correndo o risco de comprometer sua reputação e a qualidade de sua marca. A
necessidade de proteção da estrutura e imagem corporativa de uma empresa, causa a demanda de
um gerenciamento efetivo da segurança de informações.
Um número crescente de usuários móveis e remotos, além da computação remota em geral, cria
problemas especiais de segurança para as empresas.
4
Symantec MANAGING ENTERPRISE SECURITY
Empresas hoje são movidas não somente pelo desejo de proteger suas informações físicas, mas
também pela necessidade de garantir a produtividade de seus funcionários. Há uma crescente
aceitação da mobilidade e do trabalho remoto de funcionários, porém LANs e WANs corporativas
tradicionais não são suficientes para suportar o crescimento do número de funcionários off-site. À
medida que o acesso às redes corporativas aumenta, aumenta também a necessidade de proteção
na transmissão de informações para esses pontos remotos.
Segurança pode não ser a base da competência de uma empresa, mas é com certeza um requisito
básico.
Empresas envolvidas em e-commerce e e-business devem garantir que suas informações estejam
adequadamente protegidas. O gerenciamento da segurança de informações requer constante
vigilância e um registro detalhado de todas as alterações no estado da rede. Isso representa uma
enorme responsabilidade e raramente se enquadra na competência básica da equipe de
funcionários técnicos, constantemente em crescimento.
Recursos corporativos limitados de TI são necessários para suportar os requisitos comerciais básicos da
empresa.
Diretores e gerentes de tecnologia de uma empresa buscam suporte para liberar recursos
operacionais para atividades de alta importância que envolvem competências básicas e estratégias
comerciais. Especialistas internos em segurança de informações normalmente têm um profundo
conhecimento dos aplicativos comerciais cruciais executados na rede, e do impacto desses nas
operações corporativas e na largura de banda. Em uma situação ideal, esses talentosos funcionários
seriam efetivamente escalados para planejar a recriação e migração da rede para suportar
iniciativas comerciais estratégicas ou para implementar novos aplicativos que se concentrem nas
áreas de maior potencial de retorno do investimento (ROI, return-on-investment).
Esses funcionários podem não possuir os recursos necessários para manter o nível de
especialização que permite diferenciar entre ataques reais e ataques não intencionais e,
consequentemente, podem expor os sistemas a essas vulnerabilidades. O resultado é um alto custo
necessário para garantir que os funcionários sejam treinados e se mantenham atualizados nas
tecnologias e ameaças de segurança mais recentes.
Profissionais de segurança experientes são difíceis de encontrar, caros para recrutar e difíceis de
manter.
5
Symantec MANAGING ENTERPRISE SECURITY
Quando uma empresa considera a terceirização dos serviços de segurança gerenciados, deve
estimar também algumas variáveis durante o período de duração do contrato:
Para contabilizar o custo total de propriedade do gerenciamento interno de segurança, uma grande
variedade de custos deve ser considerada durante alguns anos. Uma empresa deve ser capaz de
identificar e avaliar os custos explícitos e ocultos. A seção a seguir relaciona vários dos custos de um
programa de gerenciamento de segurança.
EQUIPAMENTO
A lista de tecnologia de segurança suportada para terceirização pode ser restrita, dependendo do
suporte à tecnologia e da tendência do MSSP. Alguns MSSPs gerenciarão somente certas
tecnologias de segurança. Em alguns casos, os MSSPs solicitam que uma marca específica de
tecnologia de segurança seja adquirida ou que a tecnologia existente de uma empresa seja
substituída. Outros MSSPs requerem a compra de tecnologia especializada ou proprietária para
registro de eventos e coleta, análise e filtragem do fluxo de eventos.
Custos de licenciamento
6
Symantec MANAGING ENTERPRISE SECURITY
Manutenção
PESSOAL
Se uma empresa opera em um dia normal de 8:00 às 17:00 , mas planeja expandir suas operações de
segurança para 24 horas por dia, deve então considerar a contratação de funcionários em múltiplos
turnos, para fornecer cobertura 365 dias por ano.
Isso usaria no mínimo 4 funcionários para cobrir uma posição em uma operação de segurança de 24
horas por dia. Esses recursos adicionais necessitariam de uma variedade de experiências ou
especialização em diferentes tipos de questões de segurança.
Recrutamento
Devido à alta taxa de rotação no campo de TI, as empresas devem também considerar o custo de
recrutamento. Independente da utilização de pessoal de RH internos ou externo, o custo de
recrutamento pode variar de 20 a 30 porcento do custo total de remuneração para a posição
recrutada.
7
Symantec MANAGING ENTERPRISE SECURITY
Treinamento e educação
INSTALAÇÕES
O custo de instalações e funcionários para operações de segurança 24 horas por dia pode ser
extremamente alto. A construção ou aluguel de um centro de operações de segurança (SOC, Security
Operation Center) é inviável financeiramente para a maioria das empresas, pois o custo para tal pode
exceder $100 milhões. Se espaço existente já estiver estabelecido ou disponível para o gerenciamento
e monitoração da segurança, o custo de montagem de um centro de operações de segurança de
tamanho médio, com acomodação para mais ou menos 30 funcionários, será acima de $1 milhão.
Após adicionar o custo de equipamentos, redundância, eletricidade, HVAC (Heating, Ventilation, Air
Condition and Refrigeration) e sistemas contra incêndio para operações de redundância de alta
disponibilidade, o custo torna-se proibitivo para a maioria das empresas.
8
Symantec MANAGING ENTERPRISE SECURITY
9
Symantec MANAGING ENTERPRISE SECURITY
A tabela a seguir ilustra os custos da empresa para duas situações internas (uma para durante o dia, e
outra ativa 24 horas por dia) comparada com uma situação de terceirização.
Recursos
Equipamento
Recursos
Equipamento
1
Baseado no Information Week Salary Advisor. Custo salarial total (incluindo salário, opções de ações e bônus) de um profissional de segurança típico em Houston, Texas. Salários
incluem quatro funcionários (US$88,375) e um gerente (US$147,500).
2
Custo de treinamento estimado em US$5,000 por funcionário, baseado em duas classes por ano, no preço padrão do setor, para cursos de treinamento em segurança.
3
Esse exemplo presume que as vagas dos cinco funcionários diários já estão preenchidas. Inclui também uma taxa de rotação anual de 30 porcento para funcionários de segurança.
Para calcular operações internas ativas 24 horas por dia, os custos de recrutamento no primeiro ano são mais altos, porque além dos 30 porcento de rotação das cinco vagas
originais, serão necessários mais 10 novos funcionários. O custo de recrutamento é baseado em 25 por cento do custo salarial anual, para profissionais de segurança internos.
4
O custo do software é baseado em três licenças ilimitadas de usuários para o Symantec Enterprise Firewall/VPN, Symantec NetProwler IDS para seis segmentos da rede, além de
licenças do host IDS do Symantec Intruder Alert para 10 servidores.
5
Custo de manutenção baseado em 15 porcento do custo de licença do software.
6
O custo de instalação inclui os serviços de implementação e instalação para o gerenciamento remoto e manutenção constante do software. Sem o MSSP, os serviços de
implementação se tornam mais caros e as empresas devem fornecer manutenção constante do software (atualizações, patches, etc.) com seus recursos internos.
7
Aumento salarial baseado em um aumento médio de 9 porcento sobre o ano anterior.
8
Inclui também uma taxa de rotação anual de 30 porcento para todos os funcionários de segurança. O custo de recrutamento é baseado em 25 por cento do custo salarial anual, para
profissionais de segurança internos.
10
Symantec MANAGING ENTERPRISE SECURITY
A segurança de sistemas de informações e redes atuais é muito mais complexa e crucial do que há
alguns anos atrás. Os métodos e tecnologias usadas por hackers tornam-se mais sofisticados a cada
mês. Se a segurança não for o foco central de uma empresa, isso será uma grande desvantagem no
fornecimento de um programa de gerenciamento de segurança sólido e completo.
A experiência dos analistas e engenheiros de segurança dos MSSP, que gerenciam e monitoram os
dispositivos de segurança em tempo integral, é um recurso muito importante. Esses analistas
detectam e respondem aos incidentes de segurança e ataques todos os dias. Isso significa que eles
estão consideravelmente mais informados sobre as ameaças em potencial e possuem maior
conhecimento sobre como responder a ataques, do que os funcionários internos da empresa.
Um MSSP de uma empresa deve possuir uma organização de pesquisa dedicada a se manter
informada sobre as ameaças cibernéticas, vulnerabilidades, técnicas de hackers e
desenvolvimentos de segurança mais recentes. A monitoração constante de consultas e alertas de
segurança é essencial no fornecimento da proteção máxima contra ameaças de segurança.
Os MSSPs oferecem contratos de serviços que especificam uma obrigação contratual para fornecer
serviços de uma determinada maneira, dentro de um certo período de tempo. Os serviços de
gerenciamento de segurança incluem também outros recursos que evitam quebras de segurança
em potencial e reduzem a responsabilidade, fornecendo mais tranqüilidade. Além disso, os MSSPs
fornecem especialização em segurança com considerável experiência na detecção de intrusões e
na prática de respostas a incidentes. Um MSSP atua como o parceiro de segurança da empresa e
compartilha o peso e a responsabilidade do gerenciamento de segurança e da resposta a incidentes.
11
Symantec MANAGING ENTERPRISE SECURITY
Um provedor de serviços de segurança deve fornecer cobertura 24 horas por dia, para os sistemas
mais importantes da empresa. Isso protegerá as informações da empresa, sendo importante
principalmente para os ambientes de negócios que estão sempre conectados, sempre on-line. Os
MSSPs patrulham as infra-estruturas e redes de clientes para garantir proteção durante os horários
que a maioria dos hackers atacarão. Isso garante também que os funcionários da empresa possam
liberar valiosos recursos técnicos para trabalhar em projetos importantes que fornecerão maior retorno
do investimento.
Faça melhor uso dos produtos de segurança já existentes. Muitas empresas adquirem produtos de
segurança que, por alguma razão, nunca são totalmente implementados. Um bom provedor de
serviços de gerenciamento garante que as soluções adquiridas sejam instaladas, implementadas e
integradas para fornecer o serviço que uma empresa necessita e espera.
Com a utilização de um MSSP para fornecer proteção às informações importantes, a empresa evita
os extensos custos de pessoal associados à contratação, treinamento e manutenção de profissionais
de segurança. Os serviços de gerenciamento de segurança reduzem o custo total de propriedade
permitindo a transferência dos custos de pessoal para uma despesa variável. Como os serviços
gerenciados são cobrados mensalmente, eles permitem também que a empresa faça previsões e
gerencie melhor seu orçamento de segurança.
• Estabilidade financeira
• Tempo no mercado
• Experiência em serviço de gerenciamento de segurança
• Clientes
• Reputação
12
Symantec MANAGING ENTERPRISE SECURITY
As empresas devem determinar se as ofertas do MSSP são flexíveis e variadas para que atendam as
suas necessidades atuais e futuras. Empresas podem avaliar o gerenciamento, monitoração e
técnicas de respostas do MSSP, perguntando:
• Quais os produtos e tecnologias que o MSSP suporta?
• Como os funcionários do MSSP operarão em uma emergência?
• O MSSP é capaz de recrutar e manter funcionários com qualificações suficientes para
suportar a empresa?
• O MSSP possui contingências para adicionar consultores especializados no caso de
uma especialização adicional se tornar necessária?
• Os contratos de serviço são flexíveis e convincentes?
SUPORTE ORGANIZACIONAL
√ Conclusão
Um esquema abrangente de software, hardware, funcionários e especialistas é necessário para o
gerenciamento completo da segurança. Se será fornecido internamente ou terceirizado, é uma
decisão que a empresa deve tomar usando somente seus melhores dados. Uma decisão correta para
uma empresa pode não ser adequada para outra.
Uma análise de custos abrangente é importante, mas é somente uma parte da análise total, para a
seleção de um MSSP. É importante analisar também os níveis dos funcionários, experiência do
fornecedor, qualificações especializadas que podem existir somente dentro da empresa, além de
ser necessário que os sistemas (hardware, software e firewalls) já estejam instalados.
√ Referências
i
Gartner Dataquest. "The U.S. Security Services Market Forecast, 2000–2005," 1 de julho de 2001
ii
Dinley, D. "Should outsourcing be part of your IT act?" InfoWorld Outsourcing Study, InfoWorld, 12
de fevereiro de 2001.
iii
Carey, Allan, and Dean, Richard. "2001 Information Security Services: A Competitive Segmentation
and Analysis," IDC, Junho de 2001
iv
A empresa é um exemplo representativo de uma empresa de médio porte.. Os custos são
aproximados e sujeitos a alterações sem aviso prévio.
v
GartnerGroup Research Note. "Surviving the Managed Service Shakeout," 15 de março de 2001
14
Symantec MANAGING ENTERPRISE SECURITY
A SYMANTEC, LÍDER MUNDIAL EM TECNOLOGIA DE SEGURANÇA NA INTERNET, FORNECE UMA GRANDE VARIEDADE DE SOLUÇÕES DE
SEGURANÇA DE REDE E DE CONTEÚDO, TANTO PARA INDIVÍDUOS COMO PARA EMPRESAS. A EMPRESA É LÍDER NO FORNECIMENTO DE
PROTEÇÃO ANTIVÍRUS, FIREWALL E REDE VIRTUAL PRIVADA (VPN), GERENCIAMENTO DE VULNERABILIDADES, DETECÇÃO DE
A MARCA NORTON DA SYMANTEC DE PRODUTOS DE SEGURANÇA PARA O CONSUMIDOR LIDERA O MERCADO EM VENDAS MUNDIAIS E
PREMIAÇÕES DA INDÚSTRIA. COM MATRIZ EM CUPERTINO, CALIFÓRNIA, A SYMANTEC POSSUI OPERAÇÕES MUNDIAIS EM 37 PAÍSES.
WORLD HEADQUARTERS
20330 Stevens Creek Blvd.
Cupertino, CA 95014 U.S.A.
1.408.253.9600
1.800.441.7234