SlideShare ist ein Scribd-Unternehmen logo

Gerenciamento de Segurança Corporativa

Romendes Do Carmo
Romendes Do Carmo

O documento discute as considerações sobre gerenciamento de segurança interno versus terceirizado. Ele analisa os custos de gerenciamento de segurança interno, como equipamentos, pessoal e instalações. Também discute os benefícios da terceirização e diretrizes para selecionar um provedor de serviços de gerenciamento de segurança.

1 von 15
Downloaden Sie, um offline zu lesen
APOSTILA Symantec Enterprise Security E Gerenciando a Segurança Corporativa Considerações sobre os serviços de gerenciamento de segurança interno versus gerenciamento de segurança terceirizado INSIDE ∆ ∆ INSIDE Analisando os custos do gerenciamento de segurança Considerando as opções de gerenciamento ∆ Benefícios dos serviços de gerenciamento de segurança ∆ Selecionando um provedor de serviços de gerenciamento de segurança
Symantec MANAGING ENTERPRISE SECURITY Conteúdo Resumo executivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Desafios no ambiente de negócios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Analisando os custos do gerenciamento de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Equipamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Pessoal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Instalações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Considerando as opções de gerenciamento de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Comparando o gerenciamento de segurança interno com o gerenciamento terceirizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Exemplo: custo do gerenciamento de segurança internamente versus terceirização 9 Benefícios dos serviços de gerenciamento de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Selecionando um provedor de serviços de gerenciamento de segurança . . . . . . . . . . . . . . . . . . 12 Análise de fornecedores – mantendo o controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Variedade de ofertas de serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Suporte organizacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Perfil recomendado de um MSSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Referências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2
Symantec MANAGING ENTERPRISE SECURITY √ Resumo executivo A segurança é um componente integrante e necessário dos negócios atuais, principalmente devido à expansão da Internet e dos grandes ‘Es’: e-business, e-commerce e e-retailing. A segurança nunca foi tão importante para a sobrevivência de uma empresa, suas vantagens competitivas e a habilidade de manter o valor de seus investimentos. Portanto, um programa de segurança efetivo não envolve apenas dispositivos e tecnologias de segurança, mas incorpora também indivíduos e processos. Ao mesmo tempo, as empresas enfrentam várias barreiras para atingir e manter um programa de segurança efetivo. Essas barreiras incluem: • Carência de profissionais de segurança qualificados e experientes • Carência de recursos e infra-estruturas para suportar programas de segurança que funcionem 24 horas por dia, 7 dias por semana • Aumento da complexidade na tecnologia de segurança • Carência de treinamento formal • Falta de tempo para se concentrar no gerenciamento de segurança persistente e em tarefas operacionais Como resultado, várias empresas que gerenciam a segurança internamente estão buscando alternativas para superar essas barreiras. É necessário encontrar uma maneira de manter uma postura de segurança forte, com foco nas funções principais de e-business, geradoras de receita. A terceirização das tarefas de segurança, assim como a terceirização da tecnologia da informação e da segurança física de uma empresa, tem se tornado uma opção atraente. De acordo com a Gartner Dataquest, os serviços de segurança gerenciados, definidos como gerenciamento e monitoração terceirizada dos sistemas de segurança, representam o segmento que vem crescendo mais rapidamente no mercado de serviços de segurança de informações. "Provedores de Serviços de gerenciamento de segurança (MSSPs, Managed Security Services Providers) utilizam centros de operações de segurança de alta disponibilidade (tanto de suas próprias instalações como de centros de dados dos provedores) para suportar serviços 24 horas criados para reduzir o número de funcionários de segurança operacional que a empresa necessita contratar, treinar e reter para manter uma postura de segurança aceitável." i Por isso, para muitas empresa, duas alternativas surgiram: gerenciamento interno de segurança ou gerenciamento terceirizado de segurança, total ou em parte. A questão que muitas empresas enfrentam quando decidem terceirizar é: É possível efetivamente terceirizar as funções de gerenciamento ou gerenciar em conjunto com terceiros sem resultar em altos custos? A avaliação e identificação dos riscos e benefícios da terceirização da segurança é uma tarefa árdua. Deve-se considerar com muita cautela os pontos positivos e negativos dos provedores de serviços de gerenciamento de segurança, como: • Manutenção do controle da empresa • Experiência dos profissionais de segurança • Variedade e flexibilidade dos serviços 3
Symantec MANAGING ENTERPRISE SECURITY • Custo dos benefícios • Filosofia e cultura do programa de segurança • Compromisso com o contrato de serviços • Tecnologia suportada • Disponibilidade de instalações para as operações de segurança De todos esses fatores, a avaliação do custo de terceirização pode ser o mais difícil, pois a maioria das empresas tem dificuldades de estimar o impacto financeiro de tal decisão. De fato, um estudo recente da InfoWorld de 100 profissionais de tecnologia sobre terceirização, mostrou que 61 porcento das empresas não sabe quanto a empresa economizaria nos 12 meses após a terceirização das funções de TI. Esse é o caso na maioria das empresas que consideram a terceirização dos serviços de segurança. Este documento ajuda as empresas a calcular os custos do gerenciamento de segurança e fornece situações reais para a comparação de custos, ajudando as empresas a construir uma base para a análise financeira, necessária ao considerar um provedor de serviços de gerenciamento de segurança. Discutimos aqui também os benefícios da terceirização das funções de segurança, fornecendo diretrizes que as empresas podem usar para avaliar os provedores de serviços de segurança em potencial. √ Desafios no ambiente de negócios As iniciativas de e-commerce e e-business inspiram empresas a adotar um ambiente de rede distribuído e aberto. Esses ambientes são criados para reunir funcionários, clientes, parceiros, fornecedores e distribuidores para que troquem e acessem informações, imprescindíveis na condução de negócios atuais. Infelizmente, esse mesmo ambiente de rede cria vulnerabilidades que permite que funcionários com intenções maliciosas, hackers e outros tipos de intrusos, tanto internos como externos, criem problemas em sistemas corporativos através de atos maliciosos, fraudes e vandalismo. O dano resultante pode criar um impacto negativo na estrutura da empresa, prejudicar sua imagem corporativa e afetar negativamente a confiança do cliente. EMPRESAS ATUAIS ENFRENTAM OS SEGUINTES DESAFIOS: Há um crescimento significativo no comportamento criminoso direcionado a corporações. Com clientes e parceiros dependentes do acesso a produtos e serviços através de redes abertas como a Internet, é necessário que as empresas garantam a integridade dessas informações. Do contrário, estarão correndo o risco de comprometer sua reputação e a qualidade de sua marca. A necessidade de proteção da estrutura e imagem corporativa de uma empresa, causa a demanda de um gerenciamento efetivo da segurança de informações. Um número crescente de usuários móveis e remotos, além da computação remota em geral, cria problemas especiais de segurança para as empresas. 4
Symantec MANAGING ENTERPRISE SECURITY Empresas hoje são movidas não somente pelo desejo de proteger suas informações físicas, mas também pela necessidade de garantir a produtividade de seus funcionários. Há uma crescente aceitação da mobilidade e do trabalho remoto de funcionários, porém LANs e WANs corporativas tradicionais não são suficientes para suportar o crescimento do número de funcionários off-site. À medida que o acesso às redes corporativas aumenta, aumenta também a necessidade de proteção na transmissão de informações para esses pontos remotos. Segurança pode não ser a base da competência de uma empresa, mas é com certeza um requisito básico. Empresas envolvidas em e-commerce e e-business devem garantir que suas informações estejam adequadamente protegidas. O gerenciamento da segurança de informações requer constante vigilância e um registro detalhado de todas as alterações no estado da rede. Isso representa uma enorme responsabilidade e raramente se enquadra na competência básica da equipe de funcionários técnicos, constantemente em crescimento. Recursos corporativos limitados de TI são necessários para suportar os requisitos comerciais básicos da empresa. Diretores e gerentes de tecnologia de uma empresa buscam suporte para liberar recursos operacionais para atividades de alta importância que envolvem competências básicas e estratégias comerciais. Especialistas internos em segurança de informações normalmente têm um profundo conhecimento dos aplicativos comerciais cruciais executados na rede, e do impacto desses nas operações corporativas e na largura de banda. Em uma situação ideal, esses talentosos funcionários seriam efetivamente escalados para planejar a recriação e migração da rede para suportar iniciativas comerciais estratégicas ou para implementar novos aplicativos que se concentrem nas áreas de maior potencial de retorno do investimento (ROI, return-on-investment). Funcionários internos de TI, normalmente não possuem os recursos e a especialização necessária para proteger informações e dados importantes. Esses funcionários podem não possuir os recursos necessários para manter o nível de especialização que permite diferenciar entre ataques reais e ataques não intencionais e, consequentemente, podem expor os sistemas a essas vulnerabilidades. O resultado é um alto custo necessário para garantir que os funcionários sejam treinados e se mantenham atualizados nas tecnologias e ameaças de segurança mais recentes. Profissionais de segurança experientes são difíceis de encontrar, caros para recrutar e difíceis de manter. As empresas têm encontrado grandes dificuldades no alto custo do recrutamento e manutenção de experientes profissionais em segurança de informações, devido à grande demanda do mercado para tais profissionais. Além disso, o atrito entre os funcionários de segurança reduz a capacidade da empresa de proteger efetivamente suas informações importantes. 5
Symantec MANAGING ENTERPRISE SECURITY √ Analisando os custos do gerenciamento de segurança O custo total de propriedade de um programa de gerenciamento de segurança inclui o recurso humano e o hardware de suporte, além do software e do equipamento para montar, atualizar, manter, operar e controlar os sistemas. Quando uma empresa considera a terceirização dos serviços de segurança gerenciados, deve estimar também algumas variáveis durante o período de duração do contrato: • Todo o capital e custos operacionais relevantes • Custo de supervisão do provedor de serviços de gerenciamento de segurança • Provável aumento no custo de salários, benefícios e contratos de serviços • O "custo do capital" e custo de juros • Valor residual de equipamentos e instalações • Custo da transição, inclusive de pessoal • Custo da alteração na direção e nível de recursos • Custo das modificações no contrato Para contabilizar o custo total de propriedade do gerenciamento interno de segurança, uma grande variedade de custos deve ser considerada durante alguns anos. Uma empresa deve ser capaz de identificar e avaliar os custos explícitos e ocultos. A seção a seguir relaciona vários dos custos de um programa de gerenciamento de segurança. EQUIPAMENTO Custos de hardware e software Para gerenciamento interno da segurança, as empresas devem determinar o custo de todo o hardware e software necessário para o gerenciamento e operações de segurança. Isso inclui servidores, PCs e equipamentos periféricos, além de todos os sistemas operacionais associados, bancos de dados, aplicativos e software de segurança. O hardware e software necessários para suportar as operações de segurança incluem ferramentas de gerenciamento do sistema e da rede, sistemas de helpdesk, consoles de gerenciamento integrados, além de software e sistemas de gerenciamento do knowledge base. A lista de tecnologia de segurança suportada para terceirização pode ser restrita, dependendo do suporte à tecnologia e da tendência do MSSP. Alguns MSSPs gerenciarão somente certas tecnologias de segurança. Em alguns casos, os MSSPs solicitam que uma marca específica de tecnologia de segurança seja adquirida ou que a tecnologia existente de uma empresa seja substituída. Outros MSSPs requerem a compra de tecnologia especializada ou proprietária para registro de eventos e coleta, análise e filtragem do fluxo de eventos. Custos de licenciamento O custo de todas as licenças de software, incluindo patches, atualizações incrementais e novas versões do software deve ser calculado com base no ciclo de vida esperado do software. 6
Symantec MANAGING ENTERPRISE SECURITY Manutenção As taxas de manutenção do software e equipamento devem ser incluídas no custo total de propriedade. A manutenção do software representa normalmente entre 15 e 25 porcento do seu custo anual. Uma empresa com licenças de software avaliadas em $1 milhão pagará no mínimo $150.000 em custos de manutenção. As empresas devem estar cientes do nível de suporte que podem receber por esse custo. Alguns contratos de serviços de gerenciamento de segurança fornecem de 8 a 10 horas de cobertura e suporte, enquanto outros fornecem suporte 24 horas por dia. PESSOAL A contratação de uma equipe de profissionais de segurança de informações talvez seja o componente mais importante, difícil e caro de um programa de gerenciamento de segurança efetivo. O maior desafio do mercado é contratar e manter uma base de profissionais de segurança experientes. O custo de contratação não inclui somente os salários, mas também compensações adicionais (bônus, incentivos em ações, etc.), custo de equipamento e espaço e o custo de constante educação e treinamento. Os salários de administradores e funcionários de segurança variam dependendo de onde se localizam, nível de qualificação e experiência. De acordo com uma recente pesquisa do InformationWeekresearch.com, a média salarial anual para profissionais de segurança de informações (exceto gerentes) na área de Dallas, Texas é de: Alto Médio Baixo US$88,375 US$71,750 US$64,000 Se uma empresa opera em um dia normal de 8:00 às 17:00 , mas planeja expandir suas operações de segurança para 24 horas por dia, deve então considerar a contratação de funcionários em múltiplos turnos, para fornecer cobertura 365 dias por ano. • Turno 1 para a manhã • Turno 2 para a tarde • Turno 3 noite/madrugada • Turno 4 fins de semana e cobertura para folgas nos turnos 1, 2 e 3 Isso usaria no mínimo 4 funcionários para cobrir uma posição em uma operação de segurança de 24 horas por dia. Esses recursos adicionais necessitariam de uma variedade de experiências ou especialização em diferentes tipos de questões de segurança. Recrutamento Devido à alta taxa de rotação no campo de TI, as empresas devem também considerar o custo de recrutamento. Independente da utilização de pessoal de RH internos ou externo, o custo de recrutamento pode variar de 20 a 30 porcento do custo total de remuneração para a posição recrutada. 7
Symantec MANAGING ENTERPRISE SECURITY Treinamento e educação Constante treinamento e educação de profissionais de segurança é essencial para a reciclagem de qualificações e, principalmente, para manter seus funcionários atualizados no ambiente tecnológico constantemente em rápida transformação. Os treinamentos devem abranger as ferramentas e tecnologias de segurança mais recentes, técnicas de ameaças e 75 estratégias de proteção. Os custos nessa área devem incluir: • Treinamento no produto ou tecnologia • Treinamento na conscientização geral de segurança • Classes para preparação da certificação • Custos de certificação • Participação nas principais conferências e encontros de segurança • Assinaturas de livros e revistas, boletins ou cursos de e-learning para manter profissionais de segurança atualizados com as tecnologias mais recentes, dicas, técnicas, ameaças e proteção no setor. As empresas normalmente fornecem diretrizes sobre o treinamento que um funcionário deve receber anualmente. Um mínimo de duas semanas é oferecido normalmente, podendo ser necessário mais tempo. A maioria dos cursos de segurança duram uma semana, para que cada funcionário tenha direito a atender dois cursos por ano. Como o custo do curso varia de $1,500 a $3,000, o custo normal do treinamento por pessoa seria de $5,000 por ano. INSTALAÇÕES Centro de Operações de Segurança O custo de instalações e funcionários para operações de segurança 24 horas por dia pode ser extremamente alto. A construção ou aluguel de um centro de operações de segurança (SOC, Security Operation Center) é inviável financeiramente para a maioria das empresas, pois o custo para tal pode exceder $100 milhões. Se espaço existente já estiver estabelecido ou disponível para o gerenciamento e monitoração da segurança, o custo de montagem de um centro de operações de segurança de tamanho médio, com acomodação para mais ou menos 30 funcionários, será acima de $1 milhão. Após adicionar o custo de equipamentos, redundância, eletricidade, HVAC (Heating, Ventilation, Air Condition and Refrigeration) e sistemas contra incêndio para operações de redundância de alta disponibilidade, o custo torna-se proibitivo para a maioria das empresas. 8
Symantec MANAGING ENTERPRISE SECURITY √ Considerando as opções de gerenciamento de segurança COMPARANDO GERENCIAMENTO DE SEGURANÇA INTERNO COM GERENCIAMENTO TERCEIRIZADO Considerando os desafios do mercado e do ambiente de negócios, as empresas obviamente estão à procura de alternativas. Além dos custos, uma empresa recebe várias vantagens ao estabelecer um contrato de serviços gerenciado profissionalmente por uma equipe dedicada e experiente de profissionais de segurança. A parceria com um provedor de serviços de gerenciamento de segurança que seja profissional, bem estabelecido e experiente diminui o risco de ameaças cibernéticas. Alto nível de proteção, diligência 24 horas por dia e uma postura de segurança fortalecida pode beneficiar uma empresa significativamente. Algumas vantagens estão relacionadas na tabela abaixo. Licenciamento tradicional Provedor de serviços de segurança de software gerenciados Custo de entrada Alto Baixo Instalação e implementação Solicita recursos internos O MSSP gerencia a implementação Tempo Grande Baixo Recursos qualificados A empresa deve contratar, O MSS fornece recursos qualificados treinar e manter profissionais Risco de segurança A empresa deve assumir todos O parceiro do MSS compartilha os riscos os riscos das operações Eficiência e efetividade Dimensionamento limitado A maior escala de eficiência compromete a eficiência (1:várias) é inerente às operações do SOC. e efetividade Postura de segurança Dependente de qualificações, Aprimorado pela diligência e garantia processos e rapidez no tempo de do tempo de resposta dos funcionários resposta dos funcionários internos internos, pesquisa de vulnerabilidade vulnerabilidade de segurança e experiência da equipe do MSS Resposta Dependente de qualificações, Proteção 24 horas por dia, notificação processos e rapidez no tempo de de alertas cruciais e nível de resposta resposta dos funcionários internos de acordo com a gravidade vulnerabilidade de segurança EXEMPLO: CUSTO DO GERENCIAMENTO DE SEGURANÇA INTERNAMENTE VERSUS TERCEIRIZAÇÃO Ao comparar as despesas e custos associados ao gerenciamento de segurança terceirizado com o gerenciamento interno, em um programa de dois anos para uma empresa de médio porteiv, os benefícios e economia de custos de um contrato de serviços gerenciados devem ser considerados na sua totalidade. Em alguns casos, a economia no primeiro ano pode ser consideravelmente alta quando comparada com os anos subsequentes, devido à evolução e mudança dos requisitos de segurança. PERFIL DA EMPRESA Sand Pharmaceuticals é pioneira e líder do mercado no descobrimento de novos tratamentos para doenças debilitantes e casos médicos. A empresa emprega 3000 funcionários e possui um quadro de 40 funcionários de TI, sendo que cinco se dedicam à segurança de informações. A Sand Pharmaceuticals implementou firewalls e atualmente está implementando a tecnologia do sistema de detecção de intrusões (IDS). Para a proteção máxima da empresa, seus funcionários de segurança implementaram três firewalls e necessitam também de um IDS network-based para seis segmentos da rede, além de um IDS host-based ativo 24 horas por dia , em dez servidores críticos da empresa. 9
Symantec MANAGING ENTERPRISE SECURITY A tabela a seguir ilustra os custos da empresa para duas situações internas (uma para durante o dia, e outra ativa 24 horas por dia) comparada com uma situação de terceirização. Interno de Interno de Solução 8:00 ÀS 17:00 24X7 operations MSS Ano 1 (5 funcionários) (15 staff) terceirizada Recursos Salários 1 $501,000 $1,503,000 N/A Treinamento2 $25,000 $75,000 N/A Recrutamento3 $37,575 $288,075 N/A Equipamento Software4 $81,875 $81,875 $81,875 Manutenção5 $12,281 $12,281 $12,281 Implementação e Instalação6 Custo variado Custo variado $23,960 Gerenciamento N/A N/A $348,000 Total a partir de $657 $1,960,231 $466,116 + instalação + instalação Presumindo que a empresa mantém seus 5 funcionários de TI trabalhando durante o horário comercial no suporte de segurança em missões de emergência, a economia no primeiro ano com a terceirização de operações de segurança 24 horas por dia será de aproximadamente $836,384. Interno de In-house Recursos da 8:00 ÀS 17:00 24X7 operations solução MSS Ano 2 (5 funcionários) (15 staff) terceirizada Recursos Salários 7 $546,090 $1,638,270 N/A Treinamento $25,000 $75,000 N/A Recrutamento8 $40,957 $112,870 N/A Equipamento Manutenção $12,281 $12,281 $12,281 Gerenciamento N/A N/A $348,000 Total $624,328 $1,838,421 $360,281 Novamente presumindo que a empresa mantém seus 5 funcionários de TI trabalhando durante o horário comercial no suporte de segurança em missões de emergência, a economia no segundo ano com a terceirização de operações de segurança 24 horas por dia será de aproximadamente $853,812. 1 Baseado no Information Week Salary Advisor. Custo salarial total (incluindo salário, opções de ações e bônus) de um profissional de segurança típico em Houston, Texas. Salários incluem quatro funcionários (US$88,375) e um gerente (US$147,500). 2 Custo de treinamento estimado em US$5,000 por funcionário, baseado em duas classes por ano, no preço padrão do setor, para cursos de treinamento em segurança. 3 Esse exemplo presume que as vagas dos cinco funcionários diários já estão preenchidas. Inclui também uma taxa de rotação anual de 30 porcento para funcionários de segurança. Para calcular operações internas ativas 24 horas por dia, os custos de recrutamento no primeiro ano são mais altos, porque além dos 30 porcento de rotação das cinco vagas originais, serão necessários mais 10 novos funcionários. O custo de recrutamento é baseado em 25 por cento do custo salarial anual, para profissionais de segurança internos. 4 O custo do software é baseado em três licenças ilimitadas de usuários para o Symantec Enterprise Firewall/VPN, Symantec NetProwler IDS para seis segmentos da rede, além de licenças do host IDS do Symantec Intruder Alert para 10 servidores. 5 Custo de manutenção baseado em 15 porcento do custo de licença do software. 6 O custo de instalação inclui os serviços de implementação e instalação para o gerenciamento remoto e manutenção constante do software. Sem o MSSP, os serviços de implementação se tornam mais caros e as empresas devem fornecer manutenção constante do software (atualizações, patches, etc.) com seus recursos internos. 7 Aumento salarial baseado em um aumento médio de 9 porcento sobre o ano anterior. 8 Inclui também uma taxa de rotação anual de 30 porcento para todos os funcionários de segurança. O custo de recrutamento é baseado em 25 por cento do custo salarial anual, para profissionais de segurança internos. 10
Symantec MANAGING ENTERPRISE SECURITY √ Benefícios dos serviços de gerenciamento de segurança As empresas dependem cada vez mais de informações e do compartilhamento dessas, para suportar suas operações. Com a proliferação de descrições de técnicas de intrusão e scripts, várias empresas enfrentam sérios riscos que não existiam há cinco anos atrás. Como muitas empresas não possuem os recursos ou não desejam empregar uma equipe de segurança em tempo integral requerida para lidar com tais necessidades, elas estão sempre buscando outras alternativas. Um bom provedor de serviços de gerenciamento de segurança (MSSP) pode oferecer várias vantagens a uma empresa: Proteção aprimorada de informações. A segurança de sistemas de informações e redes atuais é muito mais complexa e crucial do que há alguns anos atrás. Os métodos e tecnologias usadas por hackers tornam-se mais sofisticados a cada mês. Se a segurança não for o foco central de uma empresa, isso será uma grande desvantagem no fornecimento de um programa de gerenciamento de segurança sólido e completo. O treinamento, especialização, tempo e diligência necessários para se manter atualizado com as estratégias de proteção mais recentes, consumirá muito o tempo dos funcionários internos, afastando-os de outras atividades importantes. Conhecimento e experiência geral dos especialistas em segurança. A experiência dos analistas e engenheiros de segurança dos MSSP, que gerenciam e monitoram os dispositivos de segurança em tempo integral, é um recurso muito importante. Esses analistas detectam e respondem aos incidentes de segurança e ataques todos os dias. Isso significa que eles estão consideravelmente mais informados sobre as ameaças em potencial e possuem maior conhecimento sobre como responder a ataques, do que os funcionários internos da empresa. Um MSSP de uma empresa deve possuir uma organização de pesquisa dedicada a se manter informada sobre as ameaças cibernéticas, vulnerabilidades, técnicas de hackers e desenvolvimentos de segurança mais recentes. A monitoração constante de consultas e alertas de segurança é essencial no fornecimento da proteção máxima contra ameaças de segurança. Compartilhe a responsabilidade com um parceiro de segurança confiável. Os MSSPs oferecem contratos de serviços que especificam uma obrigação contratual para fornecer serviços de uma determinada maneira, dentro de um certo período de tempo. Os serviços de gerenciamento de segurança incluem também outros recursos que evitam quebras de segurança em potencial e reduzem a responsabilidade, fornecendo mais tranqüilidade. Além disso, os MSSPs fornecem especialização em segurança com considerável experiência na detecção de intrusões e na prática de respostas a incidentes. Um MSSP atua como o parceiro de segurança da empresa e compartilha o peso e a responsabilidade do gerenciamento de segurança e da resposta a incidentes. 11
Symantec MANAGING ENTERPRISE SECURITY Obtenha gerenciamento de segurança 24 horas por dia. Um provedor de serviços de segurança deve fornecer cobertura 24 horas por dia, para os sistemas mais importantes da empresa. Isso protegerá as informações da empresa, sendo importante principalmente para os ambientes de negócios que estão sempre conectados, sempre on-line. Os MSSPs patrulham as infra-estruturas e redes de clientes para garantir proteção durante os horários que a maioria dos hackers atacarão. Isso garante também que os funcionários da empresa possam liberar valiosos recursos técnicos para trabalhar em projetos importantes que fornecerão maior retorno do investimento. Faça melhor uso dos produtos de segurança já existentes. Muitas empresas adquirem produtos de segurança que, por alguma razão, nunca são totalmente implementados. Um bom provedor de serviços de gerenciamento garante que as soluções adquiridas sejam instaladas, implementadas e integradas para fornecer o serviço que uma empresa necessita e espera. Adote medidas econômicas no gerenciamento de segurança Com a utilização de um MSSP para fornecer proteção às informações importantes, a empresa evita os extensos custos de pessoal associados à contratação, treinamento e manutenção de profissionais de segurança. Os serviços de gerenciamento de segurança reduzem o custo total de propriedade permitindo a transferência dos custos de pessoal para uma despesa variável. Como os serviços gerenciados são cobrados mensalmente, eles permitem também que a empresa faça previsões e gerencie melhor seu orçamento de segurança. √ Selecionando um Provedor de Serviços de Gerenciamento de Segurança Apesar da determinação dos custos poder ser complicada, essa representa uma parte relativamente pequena da avaliação total de um provedor de serviços de gerenciamento de segurança. Outros fatores importantes que uma empresa deve considerar ao avaliar um MSS incluem: ANÁLISE DE FORNECEDOR—MANTENDO O CONTROLE De acordo com a Gartner, mais de $1 bilhão em capital de empreendimentos foi injetado na inicialização de empresas de provedores de serviços de gerenciamento de segurança. Muitas dessas empresas falharão e várias uniões e aquisições serão estabelecidas no mercado antes que se estabilize. Por isso, é muito importante que as empresas tomem as necessárias precauções para analisar detalhadamente os MSSs em potencial. Uma empresa deve investigar os pontos fortes de um fornecedor, e solicitar documentação e outras informações para avaliar seus pontos fortes, sua experiência e sucesso nas seguintes áreas: • Estabilidade financeira • Tempo no mercado • Experiência em serviço de gerenciamento de segurança • Clientes • Reputação 12
Symantec MANAGING ENTERPRISE SECURITY VARIEDADE DE SERVIÇOS OFERECIDOS Empresas avaliando os MSSPs devem investigar: • Como os novos serviços de gerenciamento de segurança são implementados • Tecnologias, pontos fortes e fracos na área de serviços de segurança • Especialização para a equipe do MSSP. As empresas devem determinar se as ofertas do MSSP são flexíveis e variadas para que atendam as suas necessidades atuais e futuras. Empresas podem avaliar o gerenciamento, monitoração e técnicas de respostas do MSSP, perguntando: • Quais os produtos e tecnologias que o MSSP suporta? • Como os funcionários do MSSP operarão em uma emergência? • O MSSP é capaz de recrutar e manter funcionários com qualificações suficientes para suportar a empresa? • O MSSP possui contingências para adicionar consultores especializados no caso de uma especialização adicional se tornar necessária? • Os contratos de serviço são flexíveis e convincentes? SUPORTE ORGANIZACIONAL Ao determinar o nível de suporte organizacional, as empresas devem perguntar aos MSSPs: • Eles possuem suas próprias instalações do SOC ou têm acesso a uma? • Qual o critério de recrutamento da empresa? • Como seus funcionários são remunerados e mantidos? • Como a privacidade do cliente é garantida? As empresas devem também se informar sobre os departamentos de desenvolvimento e pesquisas do MSSP, e sobre o capital para essas áreas: • Como os funcionários do MSSP se mantêm atualizados sobre as tendências mais recentes da indústria • Que tipo de conhecimento especializado e experiência em segurança os funcionários do MSSP possuem PERFIL RECOMENDADO DE UM MSSP Perfil recomendado de um MSSP Symantec MSS Segurança é o negócio principal ✔ Estabilidade financeira comprovada ✔ Abrangente conjunto de ofertas do MSS ✔ Procedimentos, padrões e diretrizes do MSS de uso comprovado ✔ Equipe de segurança profissional, recrutada e treinada ✔ Desenvolvimento da equipe e evolução de carreiras definidas ✔ Verificações de confiabilidade da equipe ✔ Operações globais gerenciadas 24 horas por dia ✔ SOCs múltiplos e redundantes com cobertura global ✔ Qualificações extensas para suporte técnico e de segurança ✔ Suporte dedicado para a pesquisa de vulnerabilidades e ameaças ✔ Equipe dedicada a clientes específicos ✔ Os serviços suportam produtos de vários fornecedores ✔ Pode implementar produtos de segurança ✔ Riscos financeiros e de segurança aceitos mediante o contrato ✔ Contrato de serviço personalizado ✔ Gerenciamento de incidentes e recursos de resposta ✔ 13
Symantec MANAGING ENTERPRISE SECURITY √ Conclusão Um esquema abrangente de software, hardware, funcionários e especialistas é necessário para o gerenciamento completo da segurança. Se será fornecido internamente ou terceirizado, é uma decisão que a empresa deve tomar usando somente seus melhores dados. Uma decisão correta para uma empresa pode não ser adequada para outra. Uma análise de custos abrangente é importante, mas é somente uma parte da análise total, para a seleção de um MSSP. É importante analisar também os níveis dos funcionários, experiência do fornecedor, qualificações especializadas que podem existir somente dentro da empresa, além de ser necessário que os sistemas (hardware, software e firewalls) já estejam instalados. A decisão de recrutar funcionários internos ou contratar um provedor de serviços de gerenciamento de segurança deve ser tomada após muita pesquisa, investigação e planejamento orçamentário para um número de anos, priorizando a manutenção de uma postura de segurança forte e proporcionando atividades on-line e de e-business geradoras de lucros. √ Referências i Gartner Dataquest. "The U.S. Security Services Market Forecast, 2000–2005," 1 de julho de 2001 ii Dinley, D. "Should outsourcing be part of your IT act?" InfoWorld Outsourcing Study, InfoWorld, 12 de fevereiro de 2001. iii Carey, Allan, and Dean, Richard. "2001 Information Security Services: A Competitive Segmentation and Analysis," IDC, Junho de 2001 iv A empresa é um exemplo representativo de uma empresa de médio porte.. Os custos são aproximados e sujeitos a alterações sem aviso prévio. v GartnerGroup Research Note. "Surviving the Managed Service Shakeout," 15 de março de 2001 14
Symantec MANAGING ENTERPRISE SECURITY A SYMANTEC, LÍDER MUNDIAL EM TECNOLOGIA DE SEGURANÇA NA INTERNET, FORNECE UMA GRANDE VARIEDADE DE SOLUÇÕES DE SEGURANÇA DE REDE E DE CONTEÚDO, TANTO PARA INDIVÍDUOS COMO PARA EMPRESAS. A EMPRESA É LÍDER NO FORNECIMENTO DE PROTEÇÃO ANTIVÍRUS, FIREWALL E REDE VIRTUAL PRIVADA (VPN), GERENCIAMENTO DE VULNERABILIDADES, DETECÇÃO DE INTRUSÕES, FILTRAGEM DE E-MAIL E DE CONTEÚDO DA INTERNET, TECNOLOGIAS DE GERENCIAMENTO REMOTO E SERVIÇOS DE SEGURANÇA A EMPRESAS EM TODO O MUNDO. A MARCA NORTON DA SYMANTEC DE PRODUTOS DE SEGURANÇA PARA O CONSUMIDOR LIDERA O MERCADO EM VENDAS MUNDIAIS E PREMIAÇÕES DA INDÚSTRIA. COM MATRIZ EM CUPERTINO, CALIFÓRNIA, A SYMANTEC POSSUI OPERAÇÕES MUNDIAIS EM 37 PAÍSES. PARA OBTER MAIS INFORMAÇÕES, ACESSE WWW.SYMANTEC.COM.BR WORLD HEADQUARTERS 20330 Stevens Creek Blvd. Cupertino, CA 95014 U.S.A. 1.408.253.9600 1.800.441.7234 SYMANTEC DO BRASIL A Symantec possui operações Market Place Tower em 37 países. Av. Dr. Chucri Zaidan, 920 Para obter os números de 12 º andar - São Paulo - SP contatos ou endereços de Tel: 55 11 5189-6200 escritórios em um determinado A Symantec e o logotipo da Symantec são marcas registradas da Symantec Corporation nos EUA. Outras marcas e produtos são marcas comerciais de seus respectivos proprietários. Todas as informações de produto estão sujeitas a alterações. Copyright © 2002 Symantec Corporation. Todos os direitos Fax: 55 11 5189-6210 país, acesse nosso website. reservados. Made in the USA. 02/02 16-71-00086-BP www.symantec.com.br

Empfohlen

WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0Sidney Modenesi, MBCI
 
Segurança dignitário 1 e 2
Segurança dignitário 1 e 2Segurança dignitário 1 e 2
Segurança dignitário 1 e 2Abelardo Borges Rodrigues Neto
 
Aula 00 pt i - seg. de dignatários
Aula 00 pt i - seg. de dignatáriosAula 00 pt i - seg. de dignatários
Aula 00 pt i - seg. de dignatáriosclwands
 
08 planejamento gestão
08 planejamento gestão08 planejamento gestão
08 planejamento gestãoandressa bonn
 
Segurança de dignatarios
Segurança de dignatariosSegurança de dignatarios
Segurança de dignatariosivojunior1
 
Lei nº 4.898 abuso de autoridade esquematizada
Lei nº 4.898 abuso de autoridade esquematizadaLei nº 4.898 abuso de autoridade esquematizada
Lei nº 4.898 abuso de autoridade esquematizadaMarcos Girão
 
Resumo de redação oficial
Resumo de redação oficialResumo de redação oficial
Resumo de redação oficialfelipe luccas
 
Curso de Segurança e Transporte p/ Concurso TRF 2
Curso de Segurança e Transporte p/ Concurso TRF 2Curso de Segurança e Transporte p/ Concurso TRF 2
Curso de Segurança e Transporte p/ Concurso TRF 2Estratégia Concursos
 

Empfohlen

WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0Sidney Modenesi, MBCI
 
Segurança dignitário 1 e 2
Segurança dignitário 1 e 2Segurança dignitário 1 e 2
Segurança dignitário 1 e 2Abelardo Borges Rodrigues Neto
 
Aula 00 pt i - seg. de dignatários
Aula 00 pt i - seg. de dignatáriosAula 00 pt i - seg. de dignatários
Aula 00 pt i - seg. de dignatáriosclwands
 
08 planejamento gestão
08 planejamento gestão08 planejamento gestão
08 planejamento gestãoandressa bonn
 
Segurança de dignatarios
Segurança de dignatariosSegurança de dignatarios
Segurança de dignatariosivojunior1
 
Lei nº 4.898 abuso de autoridade esquematizada
Lei nº 4.898 abuso de autoridade esquematizadaLei nº 4.898 abuso de autoridade esquematizada
Lei nº 4.898 abuso de autoridade esquematizadaMarcos Girão
 
Resumo de redação oficial
Resumo de redação oficialResumo de redação oficial
Resumo de redação oficialfelipe luccas
 
Curso de Segurança e Transporte p/ Concurso TRF 2
Curso de Segurança e Transporte p/ Concurso TRF 2Curso de Segurança e Transporte p/ Concurso TRF 2
Curso de Segurança e Transporte p/ Concurso TRF 2Estratégia Concursos
 
Business Risk Perspectives on Information Systems Outsourcing
Business Risk Perspectives on Information Systems OutsourcingBusiness Risk Perspectives on Information Systems Outsourcing
Business Risk Perspectives on Information Systems OutsourcingJOSUE DIAS
 
InsuranceOne - Digital Excellence
InsuranceOne - Digital ExcellenceInsuranceOne - Digital Excellence
InsuranceOne - Digital ExcellenceMauricio Affonso dos Santos
 
Apresentação Corporativa SysValue
Apresentação Corporativa SysValueApresentação Corporativa SysValue
Apresentação Corporativa SysValueFilipe Rolo
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web72security
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...Sidney Modenesi, MBCI
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosGrupo Treinar
 
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...Lucas de Oliveira Nass
 
Whitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptWhitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptLafaiete Alves Ferreira Netto
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosGrupo Treinar
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueSymantec Brasil
 
Consultoria em BCP
Consultoria em BCPConsultoria em BCP
Consultoria em BCPAllan Piter Pressi
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Symantec Brasil
 
Wiseminer Self-Service Data Analytics
Wiseminer Self-Service Data AnalyticsWiseminer Self-Service Data Analytics
Wiseminer Self-Service Data AnalyticsLeonardo Couto
 
Lean nos serviços
Lean nos serviçosLean nos serviços
Lean nos serviçosRM consulting
 
Business Intelligence
Business Intelligence Business Intelligence
Business Intelligence Helter Siqueira
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Marcelo Veloso
 
Wiseminer Data Blending, Data Preparation & Analytics
Wiseminer Data Blending, Data Preparation & AnalyticsWiseminer Data Blending, Data Preparation & Analytics
Wiseminer Data Blending, Data Preparation & AnalyticsLeonardo Couto
 
Gestão de Serviços de TIC
Gestão de Serviços de TICGestão de Serviços de TIC
Gestão de Serviços de TICEduardo Fagundes
 
BIA - Business Impact Analysis
BIA - Business Impact AnalysisBIA - Business Impact Analysis
BIA - Business Impact AnalysisAllan Piter Pressi
 

Weitere ähnliche Inhalte

Ähnlich wie Gerenciamento de Segurança Corporativa

Business Risk Perspectives on Information Systems Outsourcing
Business Risk Perspectives on Information Systems OutsourcingBusiness Risk Perspectives on Information Systems Outsourcing
Business Risk Perspectives on Information Systems OutsourcingJOSUE DIAS
 
Apresentação Corporativa SysValue
Apresentação Corporativa SysValueApresentação Corporativa SysValue
Apresentação Corporativa SysValueFilipe Rolo
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web72security
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...Sidney Modenesi, MBCI
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosGrupo Treinar
 
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...Lucas de Oliveira Nass
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosGrupo Treinar
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueSymantec Brasil
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Symantec Brasil
 
Wiseminer Self-Service Data Analytics
Wiseminer Self-Service Data AnalyticsWiseminer Self-Service Data Analytics
Wiseminer Self-Service Data AnalyticsLeonardo Couto
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Marcelo Veloso
 
Wiseminer Data Blending, Data Preparation & Analytics
Wiseminer Data Blending, Data Preparation & AnalyticsWiseminer Data Blending, Data Preparation & Analytics
Wiseminer Data Blending, Data Preparation & AnalyticsLeonardo Couto
 
Gestão de Serviços de TIC
Gestão de Serviços de TICGestão de Serviços de TIC
Gestão de Serviços de TICEduardo Fagundes
 
BIA - Business Impact Analysis
BIA - Business Impact AnalysisBIA - Business Impact Analysis
BIA - Business Impact AnalysisAllan Piter Pressi
 

Ähnlich wie Gerenciamento de Segurança Corporativa (20)

Business Risk Perspectives on Information Systems Outsourcing
Business Risk Perspectives on Information Systems OutsourcingBusiness Risk Perspectives on Information Systems Outsourcing
Business Risk Perspectives on Information Systems Outsourcing
 
InsuranceOne - Digital Excellence
InsuranceOne - Digital ExcellenceInsuranceOne - Digital Excellence
InsuranceOne - Digital Excellence
 
Apresentação Corporativa SysValue
Apresentação Corporativa SysValueApresentação Corporativa SysValue
Apresentação Corporativa SysValue
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de Negocios
 
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...
 
Whitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptWhitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-pt
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de Negocios
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataque
 
Consultoria em BCP
Consultoria em BCPConsultoria em BCP
Consultoria em BCP
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!
 
Wiseminer Self-Service Data Analytics
Wiseminer Self-Service Data AnalyticsWiseminer Self-Service Data Analytics
Wiseminer Self-Service Data Analytics
 
Lean nos serviços
Lean nos serviçosLean nos serviços
Lean nos serviços
 
Business Intelligence
Business Intelligence Business Intelligence
Business Intelligence
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
 
Wiseminer Data Blending, Data Preparation & Analytics
Wiseminer Data Blending, Data Preparation & AnalyticsWiseminer Data Blending, Data Preparation & Analytics
Wiseminer Data Blending, Data Preparation & Analytics
 
Gestão de Serviços de TIC
Gestão de Serviços de TICGestão de Serviços de TIC
Gestão de Serviços de TIC
 
BIA - Business Impact Analysis
BIA - Business Impact AnalysisBIA - Business Impact Analysis
BIA - Business Impact Analysis
 

Gerenciamento de Segurança Corporativa

  • 1. APOSTILA Symantec Enterprise Security E Gerenciando a Segurança Corporativa Considerações sobre os serviços de gerenciamento de segurança interno versus gerenciamento de segurança terceirizado INSIDE ∆ ∆ INSIDE Analisando os custos do gerenciamento de segurança Considerando as opções de gerenciamento ∆ Benefícios dos serviços de gerenciamento de segurança ∆ Selecionando um provedor de serviços de gerenciamento de segurança
  • 2. Symantec MANAGING ENTERPRISE SECURITY Conteúdo Resumo executivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Desafios no ambiente de negócios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Analisando os custos do gerenciamento de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Equipamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Pessoal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Instalações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Considerando as opções de gerenciamento de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Comparando o gerenciamento de segurança interno com o gerenciamento terceirizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Exemplo: custo do gerenciamento de segurança internamente versus terceirização 9 Benefícios dos serviços de gerenciamento de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Selecionando um provedor de serviços de gerenciamento de segurança . . . . . . . . . . . . . . . . . . 12 Análise de fornecedores – mantendo o controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Variedade de ofertas de serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Suporte organizacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Perfil recomendado de um MSSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Referências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2
  • 3. Symantec MANAGING ENTERPRISE SECURITY √ Resumo executivo A segurança é um componente integrante e necessário dos negócios atuais, principalmente devido à expansão da Internet e dos grandes ‘Es’: e-business, e-commerce e e-retailing. A segurança nunca foi tão importante para a sobrevivência de uma empresa, suas vantagens competitivas e a habilidade de manter o valor de seus investimentos. Portanto, um programa de segurança efetivo não envolve apenas dispositivos e tecnologias de segurança, mas incorpora também indivíduos e processos. Ao mesmo tempo, as empresas enfrentam várias barreiras para atingir e manter um programa de segurança efetivo. Essas barreiras incluem: • Carência de profissionais de segurança qualificados e experientes • Carência de recursos e infra-estruturas para suportar programas de segurança que funcionem 24 horas por dia, 7 dias por semana • Aumento da complexidade na tecnologia de segurança • Carência de treinamento formal • Falta de tempo para se concentrar no gerenciamento de segurança persistente e em tarefas operacionais Como resultado, várias empresas que gerenciam a segurança internamente estão buscando alternativas para superar essas barreiras. É necessário encontrar uma maneira de manter uma postura de segurança forte, com foco nas funções principais de e-business, geradoras de receita. A terceirização das tarefas de segurança, assim como a terceirização da tecnologia da informação e da segurança física de uma empresa, tem se tornado uma opção atraente. De acordo com a Gartner Dataquest, os serviços de segurança gerenciados, definidos como gerenciamento e monitoração terceirizada dos sistemas de segurança, representam o segmento que vem crescendo mais rapidamente no mercado de serviços de segurança de informações. "Provedores de Serviços de gerenciamento de segurança (MSSPs, Managed Security Services Providers) utilizam centros de operações de segurança de alta disponibilidade (tanto de suas próprias instalações como de centros de dados dos provedores) para suportar serviços 24 horas criados para reduzir o número de funcionários de segurança operacional que a empresa necessita contratar, treinar e reter para manter uma postura de segurança aceitável." i Por isso, para muitas empresa, duas alternativas surgiram: gerenciamento interno de segurança ou gerenciamento terceirizado de segurança, total ou em parte. A questão que muitas empresas enfrentam quando decidem terceirizar é: É possível efetivamente terceirizar as funções de gerenciamento ou gerenciar em conjunto com terceiros sem resultar em altos custos? A avaliação e identificação dos riscos e benefícios da terceirização da segurança é uma tarefa árdua. Deve-se considerar com muita cautela os pontos positivos e negativos dos provedores de serviços de gerenciamento de segurança, como: • Manutenção do controle da empresa • Experiência dos profissionais de segurança • Variedade e flexibilidade dos serviços 3
  • 4. Symantec MANAGING ENTERPRISE SECURITY • Custo dos benefícios • Filosofia e cultura do programa de segurança • Compromisso com o contrato de serviços • Tecnologia suportada • Disponibilidade de instalações para as operações de segurança De todos esses fatores, a avaliação do custo de terceirização pode ser o mais difícil, pois a maioria das empresas tem dificuldades de estimar o impacto financeiro de tal decisão. De fato, um estudo recente da InfoWorld de 100 profissionais de tecnologia sobre terceirização, mostrou que 61 porcento das empresas não sabe quanto a empresa economizaria nos 12 meses após a terceirização das funções de TI. Esse é o caso na maioria das empresas que consideram a terceirização dos serviços de segurança. Este documento ajuda as empresas a calcular os custos do gerenciamento de segurança e fornece situações reais para a comparação de custos, ajudando as empresas a construir uma base para a análise financeira, necessária ao considerar um provedor de serviços de gerenciamento de segurança. Discutimos aqui também os benefícios da terceirização das funções de segurança, fornecendo diretrizes que as empresas podem usar para avaliar os provedores de serviços de segurança em potencial. √ Desafios no ambiente de negócios As iniciativas de e-commerce e e-business inspiram empresas a adotar um ambiente de rede distribuído e aberto. Esses ambientes são criados para reunir funcionários, clientes, parceiros, fornecedores e distribuidores para que troquem e acessem informações, imprescindíveis na condução de negócios atuais. Infelizmente, esse mesmo ambiente de rede cria vulnerabilidades que permite que funcionários com intenções maliciosas, hackers e outros tipos de intrusos, tanto internos como externos, criem problemas em sistemas corporativos através de atos maliciosos, fraudes e vandalismo. O dano resultante pode criar um impacto negativo na estrutura da empresa, prejudicar sua imagem corporativa e afetar negativamente a confiança do cliente. EMPRESAS ATUAIS ENFRENTAM OS SEGUINTES DESAFIOS: Há um crescimento significativo no comportamento criminoso direcionado a corporações. Com clientes e parceiros dependentes do acesso a produtos e serviços através de redes abertas como a Internet, é necessário que as empresas garantam a integridade dessas informações. Do contrário, estarão correndo o risco de comprometer sua reputação e a qualidade de sua marca. A necessidade de proteção da estrutura e imagem corporativa de uma empresa, causa a demanda de um gerenciamento efetivo da segurança de informações. Um número crescente de usuários móveis e remotos, além da computação remota em geral, cria problemas especiais de segurança para as empresas. 4
  • 5. Symantec MANAGING ENTERPRISE SECURITY Empresas hoje são movidas não somente pelo desejo de proteger suas informações físicas, mas também pela necessidade de garantir a produtividade de seus funcionários. Há uma crescente aceitação da mobilidade e do trabalho remoto de funcionários, porém LANs e WANs corporativas tradicionais não são suficientes para suportar o crescimento do número de funcionários off-site. À medida que o acesso às redes corporativas aumenta, aumenta também a necessidade de proteção na transmissão de informações para esses pontos remotos. Segurança pode não ser a base da competência de uma empresa, mas é com certeza um requisito básico. Empresas envolvidas em e-commerce e e-business devem garantir que suas informações estejam adequadamente protegidas. O gerenciamento da segurança de informações requer constante vigilância e um registro detalhado de todas as alterações no estado da rede. Isso representa uma enorme responsabilidade e raramente se enquadra na competência básica da equipe de funcionários técnicos, constantemente em crescimento. Recursos corporativos limitados de TI são necessários para suportar os requisitos comerciais básicos da empresa. Diretores e gerentes de tecnologia de uma empresa buscam suporte para liberar recursos operacionais para atividades de alta importância que envolvem competências básicas e estratégias comerciais. Especialistas internos em segurança de informações normalmente têm um profundo conhecimento dos aplicativos comerciais cruciais executados na rede, e do impacto desses nas operações corporativas e na largura de banda. Em uma situação ideal, esses talentosos funcionários seriam efetivamente escalados para planejar a recriação e migração da rede para suportar iniciativas comerciais estratégicas ou para implementar novos aplicativos que se concentrem nas áreas de maior potencial de retorno do investimento (ROI, return-on-investment). Funcionários internos de TI, normalmente não possuem os recursos e a especialização necessária para proteger informações e dados importantes. Esses funcionários podem não possuir os recursos necessários para manter o nível de especialização que permite diferenciar entre ataques reais e ataques não intencionais e, consequentemente, podem expor os sistemas a essas vulnerabilidades. O resultado é um alto custo necessário para garantir que os funcionários sejam treinados e se mantenham atualizados nas tecnologias e ameaças de segurança mais recentes. Profissionais de segurança experientes são difíceis de encontrar, caros para recrutar e difíceis de manter. As empresas têm encontrado grandes dificuldades no alto custo do recrutamento e manutenção de experientes profissionais em segurança de informações, devido à grande demanda do mercado para tais profissionais. Além disso, o atrito entre os funcionários de segurança reduz a capacidade da empresa de proteger efetivamente suas informações importantes. 5
  • 6. Symantec MANAGING ENTERPRISE SECURITY √ Analisando os custos do gerenciamento de segurança O custo total de propriedade de um programa de gerenciamento de segurança inclui o recurso humano e o hardware de suporte, além do software e do equipamento para montar, atualizar, manter, operar e controlar os sistemas. Quando uma empresa considera a terceirização dos serviços de segurança gerenciados, deve estimar também algumas variáveis durante o período de duração do contrato: • Todo o capital e custos operacionais relevantes • Custo de supervisão do provedor de serviços de gerenciamento de segurança • Provável aumento no custo de salários, benefícios e contratos de serviços • O "custo do capital" e custo de juros • Valor residual de equipamentos e instalações • Custo da transição, inclusive de pessoal • Custo da alteração na direção e nível de recursos • Custo das modificações no contrato Para contabilizar o custo total de propriedade do gerenciamento interno de segurança, uma grande variedade de custos deve ser considerada durante alguns anos. Uma empresa deve ser capaz de identificar e avaliar os custos explícitos e ocultos. A seção a seguir relaciona vários dos custos de um programa de gerenciamento de segurança. EQUIPAMENTO Custos de hardware e software Para gerenciamento interno da segurança, as empresas devem determinar o custo de todo o hardware e software necessário para o gerenciamento e operações de segurança. Isso inclui servidores, PCs e equipamentos periféricos, além de todos os sistemas operacionais associados, bancos de dados, aplicativos e software de segurança. O hardware e software necessários para suportar as operações de segurança incluem ferramentas de gerenciamento do sistema e da rede, sistemas de helpdesk, consoles de gerenciamento integrados, além de software e sistemas de gerenciamento do knowledge base. A lista de tecnologia de segurança suportada para terceirização pode ser restrita, dependendo do suporte à tecnologia e da tendência do MSSP. Alguns MSSPs gerenciarão somente certas tecnologias de segurança. Em alguns casos, os MSSPs solicitam que uma marca específica de tecnologia de segurança seja adquirida ou que a tecnologia existente de uma empresa seja substituída. Outros MSSPs requerem a compra de tecnologia especializada ou proprietária para registro de eventos e coleta, análise e filtragem do fluxo de eventos. Custos de licenciamento O custo de todas as licenças de software, incluindo patches, atualizações incrementais e novas versões do software deve ser calculado com base no ciclo de vida esperado do software. 6
  • 7. Symantec MANAGING ENTERPRISE SECURITY Manutenção As taxas de manutenção do software e equipamento devem ser incluídas no custo total de propriedade. A manutenção do software representa normalmente entre 15 e 25 porcento do seu custo anual. Uma empresa com licenças de software avaliadas em $1 milhão pagará no mínimo $150.000 em custos de manutenção. As empresas devem estar cientes do nível de suporte que podem receber por esse custo. Alguns contratos de serviços de gerenciamento de segurança fornecem de 8 a 10 horas de cobertura e suporte, enquanto outros fornecem suporte 24 horas por dia. PESSOAL A contratação de uma equipe de profissionais de segurança de informações talvez seja o componente mais importante, difícil e caro de um programa de gerenciamento de segurança efetivo. O maior desafio do mercado é contratar e manter uma base de profissionais de segurança experientes. O custo de contratação não inclui somente os salários, mas também compensações adicionais (bônus, incentivos em ações, etc.), custo de equipamento e espaço e o custo de constante educação e treinamento. Os salários de administradores e funcionários de segurança variam dependendo de onde se localizam, nível de qualificação e experiência. De acordo com uma recente pesquisa do InformationWeekresearch.com, a média salarial anual para profissionais de segurança de informações (exceto gerentes) na área de Dallas, Texas é de: Alto Médio Baixo US$88,375 US$71,750 US$64,000 Se uma empresa opera em um dia normal de 8:00 às 17:00 , mas planeja expandir suas operações de segurança para 24 horas por dia, deve então considerar a contratação de funcionários em múltiplos turnos, para fornecer cobertura 365 dias por ano. • Turno 1 para a manhã • Turno 2 para a tarde • Turno 3 noite/madrugada • Turno 4 fins de semana e cobertura para folgas nos turnos 1, 2 e 3 Isso usaria no mínimo 4 funcionários para cobrir uma posição em uma operação de segurança de 24 horas por dia. Esses recursos adicionais necessitariam de uma variedade de experiências ou especialização em diferentes tipos de questões de segurança. Recrutamento Devido à alta taxa de rotação no campo de TI, as empresas devem também considerar o custo de recrutamento. Independente da utilização de pessoal de RH internos ou externo, o custo de recrutamento pode variar de 20 a 30 porcento do custo total de remuneração para a posição recrutada. 7
  • 8. Symantec MANAGING ENTERPRISE SECURITY Treinamento e educação Constante treinamento e educação de profissionais de segurança é essencial para a reciclagem de qualificações e, principalmente, para manter seus funcionários atualizados no ambiente tecnológico constantemente em rápida transformação. Os treinamentos devem abranger as ferramentas e tecnologias de segurança mais recentes, técnicas de ameaças e 75 estratégias de proteção. Os custos nessa área devem incluir: • Treinamento no produto ou tecnologia • Treinamento na conscientização geral de segurança • Classes para preparação da certificação • Custos de certificação • Participação nas principais conferências e encontros de segurança • Assinaturas de livros e revistas, boletins ou cursos de e-learning para manter profissionais de segurança atualizados com as tecnologias mais recentes, dicas, técnicas, ameaças e proteção no setor. As empresas normalmente fornecem diretrizes sobre o treinamento que um funcionário deve receber anualmente. Um mínimo de duas semanas é oferecido normalmente, podendo ser necessário mais tempo. A maioria dos cursos de segurança duram uma semana, para que cada funcionário tenha direito a atender dois cursos por ano. Como o custo do curso varia de $1,500 a $3,000, o custo normal do treinamento por pessoa seria de $5,000 por ano. INSTALAÇÕES Centro de Operações de Segurança O custo de instalações e funcionários para operações de segurança 24 horas por dia pode ser extremamente alto. A construção ou aluguel de um centro de operações de segurança (SOC, Security Operation Center) é inviável financeiramente para a maioria das empresas, pois o custo para tal pode exceder $100 milhões. Se espaço existente já estiver estabelecido ou disponível para o gerenciamento e monitoração da segurança, o custo de montagem de um centro de operações de segurança de tamanho médio, com acomodação para mais ou menos 30 funcionários, será acima de $1 milhão. Após adicionar o custo de equipamentos, redundância, eletricidade, HVAC (Heating, Ventilation, Air Condition and Refrigeration) e sistemas contra incêndio para operações de redundância de alta disponibilidade, o custo torna-se proibitivo para a maioria das empresas. 8
  • 9. Symantec MANAGING ENTERPRISE SECURITY √ Considerando as opções de gerenciamento de segurança COMPARANDO GERENCIAMENTO DE SEGURANÇA INTERNO COM GERENCIAMENTO TERCEIRIZADO Considerando os desafios do mercado e do ambiente de negócios, as empresas obviamente estão à procura de alternativas. Além dos custos, uma empresa recebe várias vantagens ao estabelecer um contrato de serviços gerenciado profissionalmente por uma equipe dedicada e experiente de profissionais de segurança. A parceria com um provedor de serviços de gerenciamento de segurança que seja profissional, bem estabelecido e experiente diminui o risco de ameaças cibernéticas. Alto nível de proteção, diligência 24 horas por dia e uma postura de segurança fortalecida pode beneficiar uma empresa significativamente. Algumas vantagens estão relacionadas na tabela abaixo. Licenciamento tradicional Provedor de serviços de segurança de software gerenciados Custo de entrada Alto Baixo Instalação e implementação Solicita recursos internos O MSSP gerencia a implementação Tempo Grande Baixo Recursos qualificados A empresa deve contratar, O MSS fornece recursos qualificados treinar e manter profissionais Risco de segurança A empresa deve assumir todos O parceiro do MSS compartilha os riscos os riscos das operações Eficiência e efetividade Dimensionamento limitado A maior escala de eficiência compromete a eficiência (1:várias) é inerente às operações do SOC. e efetividade Postura de segurança Dependente de qualificações, Aprimorado pela diligência e garantia processos e rapidez no tempo de do tempo de resposta dos funcionários resposta dos funcionários internos internos, pesquisa de vulnerabilidade vulnerabilidade de segurança e experiência da equipe do MSS Resposta Dependente de qualificações, Proteção 24 horas por dia, notificação processos e rapidez no tempo de de alertas cruciais e nível de resposta resposta dos funcionários internos de acordo com a gravidade vulnerabilidade de segurança EXEMPLO: CUSTO DO GERENCIAMENTO DE SEGURANÇA INTERNAMENTE VERSUS TERCEIRIZAÇÃO Ao comparar as despesas e custos associados ao gerenciamento de segurança terceirizado com o gerenciamento interno, em um programa de dois anos para uma empresa de médio porteiv, os benefícios e economia de custos de um contrato de serviços gerenciados devem ser considerados na sua totalidade. Em alguns casos, a economia no primeiro ano pode ser consideravelmente alta quando comparada com os anos subsequentes, devido à evolução e mudança dos requisitos de segurança. PERFIL DA EMPRESA Sand Pharmaceuticals é pioneira e líder do mercado no descobrimento de novos tratamentos para doenças debilitantes e casos médicos. A empresa emprega 3000 funcionários e possui um quadro de 40 funcionários de TI, sendo que cinco se dedicam à segurança de informações. A Sand Pharmaceuticals implementou firewalls e atualmente está implementando a tecnologia do sistema de detecção de intrusões (IDS). Para a proteção máxima da empresa, seus funcionários de segurança implementaram três firewalls e necessitam também de um IDS network-based para seis segmentos da rede, além de um IDS host-based ativo 24 horas por dia , em dez servidores críticos da empresa. 9
  • 10. Symantec MANAGING ENTERPRISE SECURITY A tabela a seguir ilustra os custos da empresa para duas situações internas (uma para durante o dia, e outra ativa 24 horas por dia) comparada com uma situação de terceirização. Interno de Interno de Solução 8:00 ÀS 17:00 24X7 operations MSS Ano 1 (5 funcionários) (15 staff) terceirizada Recursos Salários 1 $501,000 $1,503,000 N/A Treinamento2 $25,000 $75,000 N/A Recrutamento3 $37,575 $288,075 N/A Equipamento Software4 $81,875 $81,875 $81,875 Manutenção5 $12,281 $12,281 $12,281 Implementação e Instalação6 Custo variado Custo variado $23,960 Gerenciamento N/A N/A $348,000 Total a partir de $657 $1,960,231 $466,116 + instalação + instalação Presumindo que a empresa mantém seus 5 funcionários de TI trabalhando durante o horário comercial no suporte de segurança em missões de emergência, a economia no primeiro ano com a terceirização de operações de segurança 24 horas por dia será de aproximadamente $836,384. Interno de In-house Recursos da 8:00 ÀS 17:00 24X7 operations solução MSS Ano 2 (5 funcionários) (15 staff) terceirizada Recursos Salários 7 $546,090 $1,638,270 N/A Treinamento $25,000 $75,000 N/A Recrutamento8 $40,957 $112,870 N/A Equipamento Manutenção $12,281 $12,281 $12,281 Gerenciamento N/A N/A $348,000 Total $624,328 $1,838,421 $360,281 Novamente presumindo que a empresa mantém seus 5 funcionários de TI trabalhando durante o horário comercial no suporte de segurança em missões de emergência, a economia no segundo ano com a terceirização de operações de segurança 24 horas por dia será de aproximadamente $853,812. 1 Baseado no Information Week Salary Advisor. Custo salarial total (incluindo salário, opções de ações e bônus) de um profissional de segurança típico em Houston, Texas. Salários incluem quatro funcionários (US$88,375) e um gerente (US$147,500). 2 Custo de treinamento estimado em US$5,000 por funcionário, baseado em duas classes por ano, no preço padrão do setor, para cursos de treinamento em segurança. 3 Esse exemplo presume que as vagas dos cinco funcionários diários já estão preenchidas. Inclui também uma taxa de rotação anual de 30 porcento para funcionários de segurança. Para calcular operações internas ativas 24 horas por dia, os custos de recrutamento no primeiro ano são mais altos, porque além dos 30 porcento de rotação das cinco vagas originais, serão necessários mais 10 novos funcionários. O custo de recrutamento é baseado em 25 por cento do custo salarial anual, para profissionais de segurança internos. 4 O custo do software é baseado em três licenças ilimitadas de usuários para o Symantec Enterprise Firewall/VPN, Symantec NetProwler IDS para seis segmentos da rede, além de licenças do host IDS do Symantec Intruder Alert para 10 servidores. 5 Custo de manutenção baseado em 15 porcento do custo de licença do software. 6 O custo de instalação inclui os serviços de implementação e instalação para o gerenciamento remoto e manutenção constante do software. Sem o MSSP, os serviços de implementação se tornam mais caros e as empresas devem fornecer manutenção constante do software (atualizações, patches, etc.) com seus recursos internos. 7 Aumento salarial baseado em um aumento médio de 9 porcento sobre o ano anterior. 8 Inclui também uma taxa de rotação anual de 30 porcento para todos os funcionários de segurança. O custo de recrutamento é baseado em 25 por cento do custo salarial anual, para profissionais de segurança internos. 10
  • 11. Symantec MANAGING ENTERPRISE SECURITY √ Benefícios dos serviços de gerenciamento de segurança As empresas dependem cada vez mais de informações e do compartilhamento dessas, para suportar suas operações. Com a proliferação de descrições de técnicas de intrusão e scripts, várias empresas enfrentam sérios riscos que não existiam há cinco anos atrás. Como muitas empresas não possuem os recursos ou não desejam empregar uma equipe de segurança em tempo integral requerida para lidar com tais necessidades, elas estão sempre buscando outras alternativas. Um bom provedor de serviços de gerenciamento de segurança (MSSP) pode oferecer várias vantagens a uma empresa: Proteção aprimorada de informações. A segurança de sistemas de informações e redes atuais é muito mais complexa e crucial do que há alguns anos atrás. Os métodos e tecnologias usadas por hackers tornam-se mais sofisticados a cada mês. Se a segurança não for o foco central de uma empresa, isso será uma grande desvantagem no fornecimento de um programa de gerenciamento de segurança sólido e completo. O treinamento, especialização, tempo e diligência necessários para se manter atualizado com as estratégias de proteção mais recentes, consumirá muito o tempo dos funcionários internos, afastando-os de outras atividades importantes. Conhecimento e experiência geral dos especialistas em segurança. A experiência dos analistas e engenheiros de segurança dos MSSP, que gerenciam e monitoram os dispositivos de segurança em tempo integral, é um recurso muito importante. Esses analistas detectam e respondem aos incidentes de segurança e ataques todos os dias. Isso significa que eles estão consideravelmente mais informados sobre as ameaças em potencial e possuem maior conhecimento sobre como responder a ataques, do que os funcionários internos da empresa. Um MSSP de uma empresa deve possuir uma organização de pesquisa dedicada a se manter informada sobre as ameaças cibernéticas, vulnerabilidades, técnicas de hackers e desenvolvimentos de segurança mais recentes. A monitoração constante de consultas e alertas de segurança é essencial no fornecimento da proteção máxima contra ameaças de segurança. Compartilhe a responsabilidade com um parceiro de segurança confiável. Os MSSPs oferecem contratos de serviços que especificam uma obrigação contratual para fornecer serviços de uma determinada maneira, dentro de um certo período de tempo. Os serviços de gerenciamento de segurança incluem também outros recursos que evitam quebras de segurança em potencial e reduzem a responsabilidade, fornecendo mais tranqüilidade. Além disso, os MSSPs fornecem especialização em segurança com considerável experiência na detecção de intrusões e na prática de respostas a incidentes. Um MSSP atua como o parceiro de segurança da empresa e compartilha o peso e a responsabilidade do gerenciamento de segurança e da resposta a incidentes. 11
  • 12. Symantec MANAGING ENTERPRISE SECURITY Obtenha gerenciamento de segurança 24 horas por dia. Um provedor de serviços de segurança deve fornecer cobertura 24 horas por dia, para os sistemas mais importantes da empresa. Isso protegerá as informações da empresa, sendo importante principalmente para os ambientes de negócios que estão sempre conectados, sempre on-line. Os MSSPs patrulham as infra-estruturas e redes de clientes para garantir proteção durante os horários que a maioria dos hackers atacarão. Isso garante também que os funcionários da empresa possam liberar valiosos recursos técnicos para trabalhar em projetos importantes que fornecerão maior retorno do investimento. Faça melhor uso dos produtos de segurança já existentes. Muitas empresas adquirem produtos de segurança que, por alguma razão, nunca são totalmente implementados. Um bom provedor de serviços de gerenciamento garante que as soluções adquiridas sejam instaladas, implementadas e integradas para fornecer o serviço que uma empresa necessita e espera. Adote medidas econômicas no gerenciamento de segurança Com a utilização de um MSSP para fornecer proteção às informações importantes, a empresa evita os extensos custos de pessoal associados à contratação, treinamento e manutenção de profissionais de segurança. Os serviços de gerenciamento de segurança reduzem o custo total de propriedade permitindo a transferência dos custos de pessoal para uma despesa variável. Como os serviços gerenciados são cobrados mensalmente, eles permitem também que a empresa faça previsões e gerencie melhor seu orçamento de segurança. √ Selecionando um Provedor de Serviços de Gerenciamento de Segurança Apesar da determinação dos custos poder ser complicada, essa representa uma parte relativamente pequena da avaliação total de um provedor de serviços de gerenciamento de segurança. Outros fatores importantes que uma empresa deve considerar ao avaliar um MSS incluem: ANÁLISE DE FORNECEDOR—MANTENDO O CONTROLE De acordo com a Gartner, mais de $1 bilhão em capital de empreendimentos foi injetado na inicialização de empresas de provedores de serviços de gerenciamento de segurança. Muitas dessas empresas falharão e várias uniões e aquisições serão estabelecidas no mercado antes que se estabilize. Por isso, é muito importante que as empresas tomem as necessárias precauções para analisar detalhadamente os MSSs em potencial. Uma empresa deve investigar os pontos fortes de um fornecedor, e solicitar documentação e outras informações para avaliar seus pontos fortes, sua experiência e sucesso nas seguintes áreas: • Estabilidade financeira • Tempo no mercado • Experiência em serviço de gerenciamento de segurança • Clientes • Reputação 12
  • 13. Symantec MANAGING ENTERPRISE SECURITY VARIEDADE DE SERVIÇOS OFERECIDOS Empresas avaliando os MSSPs devem investigar: • Como os novos serviços de gerenciamento de segurança são implementados • Tecnologias, pontos fortes e fracos na área de serviços de segurança • Especialização para a equipe do MSSP. As empresas devem determinar se as ofertas do MSSP são flexíveis e variadas para que atendam as suas necessidades atuais e futuras. Empresas podem avaliar o gerenciamento, monitoração e técnicas de respostas do MSSP, perguntando: • Quais os produtos e tecnologias que o MSSP suporta? • Como os funcionários do MSSP operarão em uma emergência? • O MSSP é capaz de recrutar e manter funcionários com qualificações suficientes para suportar a empresa? • O MSSP possui contingências para adicionar consultores especializados no caso de uma especialização adicional se tornar necessária? • Os contratos de serviço são flexíveis e convincentes? SUPORTE ORGANIZACIONAL Ao determinar o nível de suporte organizacional, as empresas devem perguntar aos MSSPs: • Eles possuem suas próprias instalações do SOC ou têm acesso a uma? • Qual o critério de recrutamento da empresa? • Como seus funcionários são remunerados e mantidos? • Como a privacidade do cliente é garantida? As empresas devem também se informar sobre os departamentos de desenvolvimento e pesquisas do MSSP, e sobre o capital para essas áreas: • Como os funcionários do MSSP se mantêm atualizados sobre as tendências mais recentes da indústria • Que tipo de conhecimento especializado e experiência em segurança os funcionários do MSSP possuem PERFIL RECOMENDADO DE UM MSSP Perfil recomendado de um MSSP Symantec MSS Segurança é o negócio principal ✔ Estabilidade financeira comprovada ✔ Abrangente conjunto de ofertas do MSS ✔ Procedimentos, padrões e diretrizes do MSS de uso comprovado ✔ Equipe de segurança profissional, recrutada e treinada ✔ Desenvolvimento da equipe e evolução de carreiras definidas ✔ Verificações de confiabilidade da equipe ✔ Operações globais gerenciadas 24 horas por dia ✔ SOCs múltiplos e redundantes com cobertura global ✔ Qualificações extensas para suporte técnico e de segurança ✔ Suporte dedicado para a pesquisa de vulnerabilidades e ameaças ✔ Equipe dedicada a clientes específicos ✔ Os serviços suportam produtos de vários fornecedores ✔ Pode implementar produtos de segurança ✔ Riscos financeiros e de segurança aceitos mediante o contrato ✔ Contrato de serviço personalizado ✔ Gerenciamento de incidentes e recursos de resposta ✔ 13
  • 14. Symantec MANAGING ENTERPRISE SECURITY √ Conclusão Um esquema abrangente de software, hardware, funcionários e especialistas é necessário para o gerenciamento completo da segurança. Se será fornecido internamente ou terceirizado, é uma decisão que a empresa deve tomar usando somente seus melhores dados. Uma decisão correta para uma empresa pode não ser adequada para outra. Uma análise de custos abrangente é importante, mas é somente uma parte da análise total, para a seleção de um MSSP. É importante analisar também os níveis dos funcionários, experiência do fornecedor, qualificações especializadas que podem existir somente dentro da empresa, além de ser necessário que os sistemas (hardware, software e firewalls) já estejam instalados. A decisão de recrutar funcionários internos ou contratar um provedor de serviços de gerenciamento de segurança deve ser tomada após muita pesquisa, investigação e planejamento orçamentário para um número de anos, priorizando a manutenção de uma postura de segurança forte e proporcionando atividades on-line e de e-business geradoras de lucros. √ Referências i Gartner Dataquest. "The U.S. Security Services Market Forecast, 2000–2005," 1 de julho de 2001 ii Dinley, D. "Should outsourcing be part of your IT act?" InfoWorld Outsourcing Study, InfoWorld, 12 de fevereiro de 2001. iii Carey, Allan, and Dean, Richard. "2001 Information Security Services: A Competitive Segmentation and Analysis," IDC, Junho de 2001 iv A empresa é um exemplo representativo de uma empresa de médio porte.. Os custos são aproximados e sujeitos a alterações sem aviso prévio. v GartnerGroup Research Note. "Surviving the Managed Service Shakeout," 15 de março de 2001 14
  • 15. Symantec MANAGING ENTERPRISE SECURITY A SYMANTEC, LÍDER MUNDIAL EM TECNOLOGIA DE SEGURANÇA NA INTERNET, FORNECE UMA GRANDE VARIEDADE DE SOLUÇÕES DE SEGURANÇA DE REDE E DE CONTEÚDO, TANTO PARA INDIVÍDUOS COMO PARA EMPRESAS. A EMPRESA É LÍDER NO FORNECIMENTO DE PROTEÇÃO ANTIVÍRUS, FIREWALL E REDE VIRTUAL PRIVADA (VPN), GERENCIAMENTO DE VULNERABILIDADES, DETECÇÃO DE INTRUSÕES, FILTRAGEM DE E-MAIL E DE CONTEÚDO DA INTERNET, TECNOLOGIAS DE GERENCIAMENTO REMOTO E SERVIÇOS DE SEGURANÇA A EMPRESAS EM TODO O MUNDO. A MARCA NORTON DA SYMANTEC DE PRODUTOS DE SEGURANÇA PARA O CONSUMIDOR LIDERA O MERCADO EM VENDAS MUNDIAIS E PREMIAÇÕES DA INDÚSTRIA. COM MATRIZ EM CUPERTINO, CALIFÓRNIA, A SYMANTEC POSSUI OPERAÇÕES MUNDIAIS EM 37 PAÍSES. PARA OBTER MAIS INFORMAÇÕES, ACESSE WWW.SYMANTEC.COM.BR WORLD HEADQUARTERS 20330 Stevens Creek Blvd. Cupertino, CA 95014 U.S.A. 1.408.253.9600 1.800.441.7234 SYMANTEC DO BRASIL A Symantec possui operações Market Place Tower em 37 países. Av. Dr. Chucri Zaidan, 920 Para obter os números de 12 º andar - São Paulo - SP contatos ou endereços de Tel: 55 11 5189-6200 escritórios em um determinado A Symantec e o logotipo da Symantec são marcas registradas da Symantec Corporation nos EUA. Outras marcas e produtos são marcas comerciais de seus respectivos proprietários. Todas as informações de produto estão sujeitas a alterações. Copyright © 2002 Symantec Corporation. Todos os direitos Fax: 55 11 5189-6210 país, acesse nosso website. reservados. Made in the USA. 02/02 16-71-00086-BP www.symantec.com.br